Los usuarios cada vez tienen más “enemigos”. Aunque no hayan nacido con esa idea, expertos en seguridad han encontrado evidencias de que los archivos PDF se pueden utilizar para robar contraseñas de los usuarios de los sistemas operativos Windows. No se necesita ningún tipo de iteración por parte del usuario, solo la apertura del fichero. Del resto ya se encarga el código introducido entre el contenido del fichero.
De acuerdo con la investigación realizada por parte de Assaf Baharav, colaborador de la empresa especializada en temas de seguridad Check Point, que esto sea posible se debe a dos funciones existentes en estos archivos, conocidas con el nombre de GoToE y GoToR. ¿Qué permiten estas funciones? La respuesta es muy sencilla: realizar la carga de contenidos ubicados en servidores, como, por ejemplo, un recursos SMB.
Esto permite que el archivo creado, no sea peligroso de entrada, aunque sí lo puede llegar a ser si se establece comunicación con este recurso. Es decir, la apertura de archivos PDF de estas características en un equipo que no cuenta con conexión a Internet los convierte totalmente en inofensivos.
Demostrar que los PDF se pueden utilizar para robar información
Para demostrar esto que hemos mencionado anteriormente, el investigador creó un documento PDF que utiliza las dos funciones citadas anteriormente. Cuando se haga la apertura de este archivo, realizará una petición a un servicio remoto. Además, se contará con el hash NTLM para realizar acciones de inicio de sesión.
Confeccionando este tipo de archivos, parece bastante clara su utilidad. Por un lado, realizar el robo de la información. Una vez recopilada, llevar a cabo el envío de la información a un servidor para su posterior almacenamiento.
¿En qué situación se encuentran los lectores de PDFs?
Lo primero, indicar que esta situación se trata de algo que afecta al funcionamiento de los lectores de este tipo de documentos. Baharav ha probado con Adobe Reader y con Foxit, y el resultado ha sido el mismo en ambos.
Tras las pruebas, se reportó el comportamiento a ambas empresas desarrolladoras. Sin embargo, la respuesta ha sido negativa por ambas partes. En el caso de Foxit, ni siquiera se ha contestado. Y por parte de Adobe, han indicado que no tienen pensado modificar el funcionamiento de su software por ese “problema”.
Si ir más lejos, desde Microsoft se ha publicado una recomendación para desactivar todo lo relacionado con NTLM. Obviamente, esto es algo que depende del propio usuario. Muchos no se percatarán de esto y lo mantendrán activo.
Archivos PDF y otros
El software evoluciona y los tipos de fichero clásicos han evolucionado, siendo capaces de poseer un mayor número de funciones e información. Podríamos decir que hasta aquí, todo es correcto. El problema es que los ciberdelincuentes cuentan con la capacidad y astucia para utilizar estas funciones y convertirlas en perjudiciales para los usuarios. En la mayoría de los casos, se utilizan para realizar la instalación de software malicioso o bien llevar a cabo el robo de información. Es decir, como el caso que nos ocupa en este artículo. Correos electrónicos de Outlook, documentos de Microsoft Office, enlaces y así hasta completar un listado bastante largo.
No existen normas fijas para protegerse de estas prácticas. Tal vez, la mejor opción sea vigilar desde qué páginas realizamos la descarga de los archivos. De esta forma, seremos capaces de mantener alejados este tipo de ficheros de nuestro equipo.
